雖然筆者不是Cisco網(wǎng)絡設備的專家，不過接下來相關的組態(tài)設定我們還是需要一同來了解一下。首先筆者先開啟[Cisco Network Assistant]聯(lián)機工具到Cisco 3560G這臺設備中。筆者在完成了VLAN的劃分設定之后，緊接著便切到在[Device Properties][IP Addresses]頁面中，來針對這三個VLAN設定好各自的網(wǎng)絡IP地址，并且確定皆已經(jīng)勾選了[Routed]選項。

圖2 使用命令方式設定VLAN的IP地址

關于VLAN的IP地址設定方法中，除了可以直接透過圖型接口來設定之外，當然您也可以在TELNET的模式下，如圖2所示以interface進入到指定的VLAN設定模式中，然后透過ip address命令來設定IP地址以及子域屏蔽。

接下來筆者要來啟用設備端口的AAA設定（Authentication、Authorization、Accounting），請依照下列步驟完成設定即可。

configure terminal（或t）：進入全局設定模式

aaa new-model：啟 用AAA功能

aaa authentication dot1x default group radius：建立一個802.1x驗證清單，這樣的設定表示使用所有在RADIUS Server清單中的設定來進行驗證。

dot1x system-authcontrol：啟 用802.1x驗證機制在此網(wǎng)絡交換器上（Switch）。

aaa authorization network default group radius：針對所有網(wǎng)絡服務要求，例如：每一個用戶的ACLs或VLAN的配置，設定啟用RADIUS在設備上的使用者驗證機制。

interface Gi0/21：只訂哪一些端口需要進行802.1x的驗證機制才能夠聯(lián)機，并且進入到接口設定模式中，其中筆者所輸入的Gi0/21即表示為第21個的Gigabyte端口。

dot1x port-control auto：啟用802.1x驗證機制在這端口上。

end：回到EXEC模式下

show dot1x：檢視相關設定

copy running-config startup-config（或 輸 入wri mem）：儲存前面的所有設定值到配置文件中。

完成以上有關于設備端口上的802.1x啟用設定之后，緊接著當然必須設定RADIUS服務器的聯(lián)機組態(tài)，而這里所指的RADIUS服務器便是由網(wǎng)絡原則服務器（NPS）所提供。

在上述命令范例中，筆者所輸入的IP地址便是網(wǎng)絡原則服務器（NPS）的IP地址，而驗證與帳戶的端口請一并輸入，至于所輸入的驗證密鑰則必須記住，因為后續(xù)在網(wǎng)絡原則服務器（NPS）組態(tài)配置上，是必須輸入一樣的密鑰內(nèi)容的。

完成有關于網(wǎng)絡交換器（Switch）上 的 802.1x驗證與RADIUS的設定之后，接下來讓我們繼續(xù)來看看其它幾個相關的選用參考設定。如果我們以動態(tài)切換VLAN的方式來進行NAP的隔離機制，那么想必在初始的VLAN1中必須安裝一部DHCP服務器，并且預先設定好三個不同IP網(wǎng)段的領域，以這樣的架構(gòu)來說在網(wǎng)絡交換器（Switch）上勢必要設定DHCP Relay才能夠讓整個運作正常。在范例中筆者便是分別進入到不同的VLAN設定中，然后以ip helper-address命令來統(tǒng)一指向位在VLAN1網(wǎng)絡中的DHCP服務器即可。

接下來建議您將Cisco網(wǎng)絡交換器中的Supplicant Timeout設定值變更為15秒以上（默認值為5秒），以避免發(fā)生當在Windows Vista或Windows XP SP3上所產(chǎn)生的健康狀態(tài)消息（SoH，Statement of Health），還來不及透過此交換器完成驗證動作就已經(jīng)逾時，而導致經(jīng)常無法成功聯(lián)機的問題。解決此問題，您可以在Interface命令進入到指定的802.1x驗證端口之后，輸入dot1x timeout supptimeout 秒數(shù)即可，而透過show dot1x interface 端口編號（或 VLAN），則可以檢視目前的設定值。

在Cisco裝置系統(tǒng)默認的狀態(tài)下，對于端口802.1x的重新驗證間隔時間為3600秒，您可以依照需求透過dot1x reauthentication（啟用重新驗證功能）以及dot1x timeout reauthperiod 秒數(shù)，來進行修改此設定值即可（1-65535）。

請注意！每一次的重新驗證作業(yè)都會讓網(wǎng)絡原則服務器（NPS）上，產(chǎn)生新的合法驗證或非法驗證的結(jié)果事件。

關于Cisco網(wǎng)絡交換器的管理技巧，最后再和各位分享一個設定，那就是在預設的狀態(tài)下，當我們將網(wǎng)絡線連接到端口時，您可能會發(fā)現(xiàn)它大概要等到30秒左右的時間才會由紅燈變成綠燈，如果您不想等待這么長的時間，便可以透過[Cisco Network Assistant]聯(lián)機工具，切換到[Ports][Port Settings]節(jié)點頁面中，將所要設定端口中的[Port Fast]域值變更為[enable]即可。